隧道服务概述

通过将任意数据包封装在传输协议内，隧道可通过其他公共网络提供专用、安全的路径。隧道连接不连续子网并启用加密接口、虚拟专用网络 （VPN） 和 MPLS。如果在 M 系列或 T 系列路由器中安装了隧道 物理接口卡 （PIC），则可以配置单播、组播和逻辑隧道。

您可以为 VPN 配置两种类型的隧道：一种用于促进路由表查找，另一种用于促进 VPN 路由和转发实例 （VRF） 表查找。

有关加密接口的信息，请参阅 配置加密接口。有关 VPN 的信息，请参阅 适用于路由设备的 Junos OS VPN 库。有关 MPLS 的信息，请参阅 MPLS 应用程序用户指南。

在 SRX 系列防火墙上，通用路由封装 （GRE） 和 IP-IP 隧道分别使用内部接口 gr-0/0/0 和 ip-0/0/0。Junos OS 会在系统启动时创建这些接口;它们不与物理接口关联。

瞻博网络 Junos OS 支持下表所示的隧道类型。

表 1：隧道接口类型

接口	描述
gr-0/0/0	可配置的通用路由封装 （GRE） 接口。GRE 允许将一种路由协议封装在另一种路由协议上。 在路由器中，数据包被路由到此内部接口，在那里，它们首先使用 GRE 数据包封装，然后用另一个协议数据包重新封装以完成 GRE。GRE 接口仅为内部接口，不与物理接口关联。您必须为其配置接口才能执行 GRE。
gre	内部生成的 GRE 接口。此接口由 Junos OS 生成，用于处理 GRE。您无法配置此接口。
ip-0/0/0	可配置的 IP-over-IP 封装（也称为 IP 隧道）接口。IP 隧道允许将一个 IP 数据包封装在另一个 IP 数据包上。 数据包被路由到内部接口，在那里使用 IP 数据包封装，然后转发到封装数据包的目标地址。IP-IP 接口仅为内部接口，不与物理接口关联。您必须为其配置接口才能执行 IP 隧道。
ipip	内部生成的 IP 接口。此接口由 Junos OS 生成，用于处理 IP-over-IP 封装。它不是一个可配置的接口。
lt-0/0/0	lt M 系列和 T 系列路由器上的接口支持逻辑系统的配置，能够将单个物理路由器分区为执行独立路由任务的多个逻辑设备。 在 SRX 系列防火墙上， lt 接口是用于互连逻辑系统的可配置逻辑隧道接口。请参阅 适用于安全设备的 Junos OS 逻辑系统配置指南。
mt-0/0/0	内部生成的组播隧道接口。组播隧道过滤所有单播数据包;如果传入数据包的前缀不是 224/8-或更大，则会丢弃该数据包并增加计数器。 在路由器中，数据包被路由到此内部接口以进行组播过滤。组播隧道接口仅为内部接口，不与物理接口关联。如果您的路由器具有隧道服务 PIC，则 Junos OS 会自动为您配置的每个虚拟专用网 （VPN） 配置一个组播隧道接口 （mt-）。您无需配置组播隧道接口。但是，您可以配置接口的属性 mt- ，例如 multicast-only 语句。
mtun	内部生成的组播隧道接口。此接口由 Junos OS 生成，用于处理组播隧道服务。它不是一个可配置的接口。
pd-0/0/0	可配置的协议无关组播 （PIM） 解封装接口。在 PIM 稀疏模式下，第一跃点路由器封装发往集合点路由器的数据包。数据包使用单播标头封装，并通过单播隧道转发到集合点。然后，集合点对数据包进行解封装，并通过其组播树传输数据包。 在路由器中，数据包被路由到此内部接口进行解封装。PIM 解封装接口只是内部接口，不与物理接口关联。必须为其配置接口才能执行 PIM 解封装。 注意： 在 SRX 系列防火墙上，此接口类型为 ppd0。
pe-0/0/0	可配置的 PIM 封装接口。在 PIM 稀疏模式下，第一跃点路由器封装发往集合点路由器的数据包。数据包使用单播标头封装，并通过单播隧道转发到集合点。然后，集合点对数据包进行解封装，并通过其组播树传输数据包。 在路由器中，数据包被路由到此内部接口进行封装。PIM 封装接口只是内部接口，不与物理接口关联。必须为其配置接口才能执行 PIM 封装。 注意： 在 SRX 系列防火墙上，此接口类型为 ppe0。
pimd	内部生成的 PIM 解封装接口。此接口由 Junos OS 生成，用于处理 PIM 解封装。它不是一个可配置的接口。
pime	内部生成的 PIM 封装接口。此接口由 Junos OS 生成，用于处理 PIM 封装。它不是一个可配置的接口。
vt-0/0/0	可配置的虚拟环路隧道接口。促进基于 MPLS 标签的 VRF 表查找。M 系列和 T 系列路由器支持此接口类型，但 SRX 系列防火墙不支持。 要配置虚拟环路隧道以促进基于 MPLS 标签的 VRF 表查找，请指定虚拟环路隧道接口名称并将其与属于特定路由表的路由实例相关联。数据包通过虚拟环回隧道进行路由查找。

从 Junos OS 15.1 版开始，您可以通过 GRE 接口配置第 2 层以太网服务（gr-fpc/pic/port以使用 GRE 封装）。要允许在 GRE 隧道上终止第 2 层以太网数据包，必须在接口上gr-配置桥接域协议家族，并将接口与桥接域关联gr-。您必须将 GRE 接口配置为面向核心的接口，并且它们必须是接入接口或中继接口。要在接口上gr-配置网桥域家族，请在层次结构级别包含family bridge语句[edit interfaces gr-fpc/pic/port unit logical-unit-number]。要将接口与桥接域关联gr-，请在层次结构级别包含interface gr-fpc/pic/port语句[edit routing-instances routing-instance-name bridge-domains bridge-domain-name]。通过在层次结构级别包含vlan-id (all | none | number)语句或vlan-id-list [ vlan-id-numbers ]语句[edit bridge-domains bridge-domain-name]，可以将桥接域中的 GRE 接口与桥接域中的相应 VLAN ID 或 VLAN ID 列表相关联。为网桥域配置的 VLAN ID 必须与您在层次结构级别使用[edit interfaces gr-fpc/pic/port unit logical-unit-number]语句或vlan-id-list [ vlan-id-numbers ]语句为 vlan-id (all | none | number) GRE 接口配置的 VLAN ID 匹配。您还可以在与虚拟交换机实例关联的桥接域中配置 GRE 接口。GRE 密钥选项还支持通过 GRE 隧道的第 2 层以太网数据包。GRE 密钥匹配条件允许用户与 GRE 密钥字段匹配，这是 GRE 封装数据包中的可选字段。键可以匹配为单个键值和/或一系列键值。

注意：

从 Junos OS 16.1 版开始，支持通过 GRE 接口将第 2 层端口镜像到远程收集器。

• MPC7E-MRATE 的数据包转发引擎映射和隧道带宽
• MPC7E-10G 的数据包转发引擎映射和隧道带宽
• MX2K-MPC8E 的数据包转发引擎映射和隧道带宽
• MX2K-MPC9E 的数据包转发引擎映射和隧道带宽
• MPC10E-10C 的数据包转发引擎映射和隧道带宽
• MPC10E-15C 的数据包转发引擎映射和隧道带宽
• MX2K-MPC11E 的数据包转发引擎映射和隧道带宽
• MX10K-LC9600 的数据包转发引擎映射和隧道带宽

通过非 MPLS 网络传输的 VPN 需要 GRE 隧道。此隧道可以是静态隧道，也可以是动态隧道。静态隧道是在两个 PE 路由器之间手动配置的。动态隧道是使用 BGP 路由解析配置的。

当路由器收到的 VPN 路由通过没有 MPLS 路径的 BGP 下一跃点进行解析时，可以动态创建 GRE 隧道，从而允许将 VPN 流量转发到该路由。仅支持 GRE IPv4 隧道。

要在两个 PE 路由器之间配置动态隧道，请包含以下 dynamic-tunnels 语句：

您可以在以下层次结构级别配置此语句：

• [edit routing-options]

• [edit routing-instances routing-instance-name routing-options]

• [edit logical-systems logical-system-name routing-options]

• [edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]